Faille de sécurité majeure dans certaines versions de GitLab : Une alerte de sécurité critique et des mesures à prendre
Cette semaine, notre équipe a été confrontée à une sérieuse faille de sécurité majeure de GitLab. En effet, nous avons reçu une notification de changement de mot de passe administrateur. Et, pourtant, nous n’avions initié aucune action en ce sens. Cet incident a révélé une vulnérabilité critique, CVE-2023-7028, dans certaines versions de GitLab. Cette vulnérabilité permet à des attaquants de contourner les comptes sans nécessiter l’intervention de l’utilisateur. Dans cet article, nous détaillons notre expérience. Nous allons également expliquer les étapes à suivre pour protéger vos données et éviter les conséquences de cette faille de sécurité.
Ce que nous avons expérimenté
Nous avons été alertés par un message de notification par courriel confirmant le changement de notre mot de passe administrateur. Lors de nos tentatives de connexion infructueuses, nous avons dû réinitialiser le mot de passe pour regagner l’accès à notre compte.
À ce stade, un message nous a avertis de l’urgence d’actualiser GitLab en raison d’une faille critique, CVE-2023-7028. Cette vulnérabilité permet à toute personne de déclencher un lien de réinitialisation vers n’importe quelle adresse électronique. Cela a pour conséquence de compromettre la sécurité des comptes GitLab.
Détails de la Vulnérabilité
La faille de sécurité, identifiée comme CVE-2023-7028, exploite une modification introduite dans la version 16.1.0 en mai 2023. Cette modification autorisait les utilisateurs à effectuer des réinitialisations de mot de passe via une adresse électronique secondaire. Les attaquants peuvent exploiter cette vulnérabilité en envoyant une requête HTTP spécialement conçue pour déclencher l’envoi d’un courriel de réinitialisation de mot de passe. Par conséquent, ils peuvent recevoir un lien vers une adresse électronique qu’ils contrôlent.
Les versions affectées de GitLab incluent
- 16.1 à 16.1.5
- 16.2 à 16.2.8
- 16.3 à 16.3.6
- 16.4 à 16.4.4
- 16.5 à 16.5.5
- 16.6 à 16.6.3
- 16.7 à 16.7.1
Tous les mécanismes d’authentification, y compris certaines utilisant une connexion unique (SSO), sont vulnérables. GitLab recommande de désactiver l’authentification par mot de passe pour les clients autogérés ayant un fournisseur d’identité externe configuré. Il recommande aussi d’activer l’authentification à deux niveaux.
Mesures Correctives pour fixer la faille de sécurité majeure de GitLab
Pour atténuer cette vulnérabilité en attendant l’application des correctifs finale, vous devez activer l’authentification à deux facteurs (2FA) pour tous les comptes. Bien que les utilisateurs avec 2FA activé ne soient pas vulnérables à une prise de contrôle de compte, il est essentiel de maintenir une vigilance accrue. GitLab ne prend en charge que l’authentification 2FA basée sur une application ou délivrée via un dispositif WebAuthn, offrant une sécurité renforcée.
GitLab propose aussi un patch de sécurité que vous pouvez trouver sur leur site web.
Conclusion
Bien qu’il n’y ait aucune preuve d’exploitation réussie de cette faille au moment de sa divulgation, il est impératif de prendre des mesures immédiates pour protéger les instances GitLab. Administrateurs, appliquez les correctifs de sécurité dès que possible et encouragez l’utilisation continue de l’authentification à deux facteurs pour tous les comptes. La sécurité des données et du code source doit être une priorité absolue, et la prévention est la clé pour éviter les conséquences graves d’une faille de sécurité. Avez-vous besoin d’assistance pour installer ou sécuriser votre GitLab ? Contactez-nous.
Gilblas Ngunte Possi
Fondateur et Développeur Full-Stack chez Prositeweb.
Ma maîtrise des outils modernes, combinée à un sens d’analyse approfondi des technologies de l’information, me permet d’offrir un accompagnement de qualité dans la conception et la mise en place de vos solutions web.
